Devriez-vous nettoyer les mots de passe des utilisateurs avant le hachage en PHP?

Traitement du mot de passe PHP: abandonner l'ancienne méthode de nettoyage de mot de passe

De nombreux développeurs PHP sont utilisés pour le nettoyage des données lors du traitement des mots de passe. Cependant, lors de l'utilisation de la fonction

de PHP, cette étape est non seulement redondante, mais réduit également la sécurité.

password_hash() Pourquoi ne pas nettoyer le mot de passe?

Redondance du code: L'ajout du mécanisme de nettoyage au mot de passe augmentera la complexité du code.

Aucun avantage de sécurité:
• Le mot de passe traité par le hachage ne provoquera pas de menaces d'injection SQL, donc le nettoyage supplémentaire est superflu du point de vue de la sécurité. Réduire la valeur d'entropie du mot de passe:
l'élagage ou le nettoyage du mot de passe peut supprimer des caractères qui aident leur caractère unique et leur force. Par exemple, l'espace dans le mot de passe supprimé réduira considérablement sa valeur d'entropie.
• Les avantages de ne pas être nettoyés directement hachage
• Empêcher l'injection SQL:

L'algorithme de hachage convertit le mot de passe en format de sécurité.

flexible:

permet aux utilisateurs d'utiliser n'importe quelle longueur, espace ou caractère spécial dans le mot de passe, ce qui peut augmenter la complexité du mot de passe et le rendre plus résistant à l'attaque Bruch Crack. Mécanisme de hachage:

(algorithme de hachage par défaut) Générer une valeur de hachage de 60 caractères, qui contient le mot de passe après un sel aléatoire et un hachage. Cela garantit que même si le mot de passe est le même, la valeur de hachage de chaque utilisateur est unique.

Les conséquences du nettoyage des mots de passe:

Considérez le mot de passe suivant:

La méthode de nettoyage commune utilisée avant le hachage produira des résultats très différents:

TRIP: PASSWORD_BCRYPT Supprimer l'espace de résidence.

Htmlentities / HtmlSpecials: Changer des caractères spéciaux, tels que des citations et des supports de sprite.

Ajoute les réchauffeurs:

Ajouter des caractères de transfert devant des caractères spéciaux.

<code>I'm a "dessert topping" & a <floor wax>!</code>

strip_tags:

supprimer les balises HTML.

• Toute méthode avant le hachage entraînera des différences dans le processus de vérification du mot de passe, et la même méthode de nettoyage est nécessaire avant chaque vérification. Conclusion
• Le nettoyage du mot de passe fourni par les utilisateurs avant le hash est une approche inutile, ce qui réduira la sécurité et augmentera la complexité du code. Il est recommandé d'utiliser le mot de passe stocké sans étapes de nettoyage supplémentaire.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!